Care este treaba cu avertismentul persistent de la Android „Rețeaua poate fi monitorizată”?

Lansarea Android 4.4 KitKat a adus o gamă largă de îmbunătățiri, inclusiv securitate îmbunătățită. În timp ce securitatea ar putea fi mai strictă, mesajele pot fi totuși puțin criptice. Ce înseamnă exact avertismentul persistent „Rețeaua poate fi monitorizată”, ar trebui să fii îngrijorat și ce poți face pentru a scăpa de ea?

Dragă Geek,

Am cumpărat recent un nou telefon Android și a apărut acest nou mesaj de avertizare care mă cam înnebunește puțin. Nu a apărut niciodată pe vechiul meu telefon Android și acum apare la fiecare câteva zile sau ori de câte ori repornesc telefonul. Mesajul care clipește în bara de stare și apoi apare în meniul de notificare este „Rețeaua poate fi monitorizată”, iar apoi, dacă dau clic pe comanda rapidă de avertizare din meniul de notificare, mă duce la un meniu de sistem etichetat „Acreditări de încredere, ” cu două file. Unul este etichetat „sistem” și unul este etichetat „utilizator”. Există o mulțime de articole listate în fila „sistem” și doar unul în fila „utilizator”. Ceea ce este ciudat este că singurul element listat în fila utilizator arată ca un nume de router „netgear”.

Nu am idee ce sunt aceste lucruri sau de ce Android îmi spune că rețeaua mea poate fi monitorizată. Ar trebui să fiu la fel de speriat de acest mesaj ca și mine și ce pot face ca să dispară? Am atașat câteva capturi de ecran în cazul în care am făcut o treabă proastă descriind problema.

Cu sinceritate,

Android paranoic

Acest tip de situație este exact motivul pentru care nu ne-a plăcut în mod deosebit implementarea gestionării acreditărilor în Android 4.4. Inima Google a fost la locul potrivit, dar modul în care actualizarea a gestionat-o (și a avertizat utilizatorul) este în cel mai bun caz neelegant și neliniștitor (pentru utilizatorul final neinițiat) în cel mai rău caz. Să aruncăm o privire la care este mesajul de avertizare și ce puteți face în privința acestuia.

Sursa Avertismentului

Mai întâi, să explicăm de ce primiți acest mesaj de eroare, deoarece Android oferă aproape zero feedback util în acest sens. Telefonul dumneavoastră păstrează o listă de certificate de securitate de încredere și furnizate de utilizator. Acea listă lungă de intrări din „sistem” pe care ați găsit-o în meniul „Acreditări de încredere” este, în esență, doar o mare listă albă veche a emitenților de certificate de securitate aprobați cu care Google și-a pre-seed telefonul Android. În esență, telefonul tău spune „Oh, bine, acești oameni sunt de încredere, așa că putem avea încredere în certificatele de securitate emise de ei”.

Când un certificat de securitate este adăugat la telefonul dvs. (fie manual de dvs., cu rău intenționat de către alt utilizator, sau automat de un serviciu sau site pe care îl utilizați) și nu este emis de unul dintre acești emitenți preaprobați, atunci caracteristica de securitate a Android intră în acțiune cu avertismentul „Rețelele pot fi monitorizate”. Din punct de vedere tehnic, acesta este un avertisment precis: dacă pe dispozitivul dvs. este instalat un certificat de securitate rău intenționat/compromis, este posibil ca traficul de pe dispozitiv să poată fi monitorizat în anumite circumstanțe. Este, de asemenea, posibil ca o companie sau un furnizor de hotspot să folosească certificate auto-eliberate pe propriul hardware în acest scop (deși, de obicei, motivele lor sunt mai benigne).

Din păcate, avertismentul emis este inutil de înfricoșător și nu este clar: dacă nu știți care este afacerea cu acreditările de încredere și certificatele de securitate, atunci avertizarea ar putea fi la fel de bine în binar.

Un certificat nici măcar nu trebuie să fie cu adevărat rău intenționat pentru a declanșa avertismentele, cu toate acestea, trebuie doar să fie emis/semnat de o autoritate care nu este listată în lista de „sistem” de încredere. Aceasta înseamnă că dacă v-ați semnat propriul certificat pentru o anumită utilizare (cum ar fi configurarea unei conexiuni securizate la serverul dvs. de acasă), atunci Android se va plânge despre asta. De asemenea, înseamnă că dacă compania dvs. își auto-semnează certificatele pentru uz intern și nu plătește pentru un certificat semnat oficial, veți primi și un avertisment.

În cele din urmă, și suntem destul de siguri că exact ce s-a întâmplat în cazul dvs., dacă vă conectați la o rețea Wi-Fi securizată care utilizează un certificat de securitate de la un emitent care nu se află pe lista de încredere a telefonului dvs., veți primiți eroarea. Din punct de vedere tehnic, așa cum am menționat mai sus, compania ar putea folosi certificatul autosemnat în scopuri rău intenționate, dar practic de cele mai multe ori te confrunți cu această problemă va fi din cauza 1) compania nu dorește să plătească taxele pentru un public. certificatul pe care îl folosesc în scopuri private și 2) doresc control total asupra procesului de creare și semnare a certificatului.

Dacă doriți să citiți mai multe despre partea tehnică a avertismentului (precum și cât de supărat a făcut noul sistem de gestionare a certificatelor mai mult de câteva persoane), puteți consulta aceste fire de raportare a erorilor Android [1, 2] și aceste două postări de blog la GeekTaco [1, 2] care discută problema în profunzime.

Ar trebui să fii îngrijorat?

Avertismentul este formulat foarte serios și cu greu te învinovățim că ești puțin speriat. Dar chiar ar trebui să fii îngrijorat? În marea majoritate a cazurilor, utilizatorii care văd această eroare nu o văd deoarece cineva a instalat un certificat rău intenționat pe mașina lor și acum sunt în pericol. Motivul cel mai tipic este cel pe care l-am subliniat mai sus: companiile care folosesc certificate autosemnate care nu sunt listate în directorul de certificate de încredere al sistemului, deoarece nu au fost niciodată emise de un emitent autorizat.

Având în vedere probabilitatea ca cineva să folosească un certificat rău intenționat împotriva dvs. să fie scăzută și probabilitatea ca certificatul să determine avertismentul să fie un certificat nerăușitor care pur și simplu nu a fost creat de o autoritate de certificare verificată public, nu trebuie să vă panicați.

Acestea fiind spuse, nu există niciun motiv să păstrați certificate necunoscute și nici un motiv să suportați avertismente care nu se aplică situației dvs. Să ne uităm la ce poți face în ambele scenarii.

Ce poti face?

Super-majoritatea certificatelor din surse legitime ar trebui să fie semnate și verificate corespunzător. În cazurile rare în care aveți un certificat valid nesemnat (de exemplu, l-ați creat singur sau compania dvs. îl folosește pentru rețelele interne), fie ați fi conștient de originea certificatului, deoarece ați avut o contribuție în realizarea acestuia, fie o conversație. cu cei din IT ar trebui să clarifice lucrurile.

Deci, cu excepția cazului în care utilizați Android într-un mediu corporativ (în care ar trebui să verificați cu IT-ul pentru a vedea care este afacerea cu certificatul, deoarece ar putea fi unul creat de ei) sau ați creat singur certificatul, cea mai simplă soluție este doar să apăsați și mențineți apăsat orice certificat necunoscut găsit în categoria „utilizator” din categoria „certificate de încredere” și ștergeți-le (butonul de eliminare este situat în partea de jos a panoului de informații). Cu cât sunt mai puține capete neidentificate (în special în lista de certificate), cu atât mai bine.

Dacă aveți un certificat legitim care afișează eroarea deoarece se află în lista „utilizator” în loc de lista „sistem”, puteți (la propria discreție și risc) să mutați manual certificatul din lista de utilizatori/director în listă/director de sistem. Aceasta nu este o sarcină care trebuie întreprinsă cu ușurință, așa că dacă nu sunteți complet încrezător că certificatul din lista de „utilizatori” este sigur, deoarece fie 1) l-ați creat, fie 2) personalul IT de la compania dumneavoastră a verificat că este unul dintre certificatele lor , nu ar trebui să încercați o mișcare.

Dacă aveți încredere în securitatea și originea certificatului, inginerul și pasionatul de Android Sam Hobbs are un ghid de instrucțiuni scris clar pentru mutarea manuală a certificatelor, iar un alt programator și entuziast Felix Ableitner are o aplicație open-source care îndeplinește aceeași sarcină fără lucru pe linia de comandă. Din nou, dacă nu aveți o nevoie presantă (și bine înțeleasă) de certificat, vă recomandăm să nu faceți acest lucru.

Ai o întrebare tehnică presantă? Trimiteți-ne un e-mail la [email protected] și vom face tot posibilul să răspundem.